اطلاعیه

Collapse
No announcement yet.

طراحی یک ids

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • #31
    استارتش که خورده
    فعلا در حد یه فایروال فسقلی که پورت های انتشار ورم ها را میبنده ، ولی ادامه اش مستلزمه اینه که ببینم واقعا میتونم یه چیزی بدم دست ملت که یه فایده ای براشون داشته باشه ، یه امکانی که مفید باشه و با وجود n تا فایروال موجود که توی ایران هم همه رایگان هستند رسما ، بتونه یه فرقی داشته باشه. اینه که دستم به کار نمیره ..
    به عنوان یک خاصیت گرونقیمت utm ها نیت داشتم این امکان دتکت پکتهای تغییرشکل یافته را مجانی بزارم برای همه که راحت استفاده کنند ولی خب هنوز توش موندم :(


    خب امروز بلاخره بعد از 4ماه و نیم یه پروژه فوق تخمی را تحویل صاحابش دادم تا یه کم وقتم آزاد بشه...
    نامرد دوباره راست کرده

    Comment


    • #32
      اینو بگو. من چه بنویسم؟
      دیتابیس ریجکس رو شروع می کنم ...
      چیزیو هم که نوشتی بده یه نگاهی بندازم

      come to see phrack.org

      Comment


      • #33
        نوشته اصلی توسط sali444 نمایش پست ها
        اینو بگو. من چه بنویسم؟
        دیتابیس ریجکس رو شروع می کنم ...
        چیزیو هم که نوشتی بده یه نگاهی بندازم

        هرکدوم را دوست داشتی استارت کن هرکدومش باقی موند خودم ترتیبشو میدم
        فعلا فرقی هم نداره باچی مینویسی ، فقط یه جوری بنویس که بعدا من به صورت تابع بتونم صداش بزنم توی یک dll
        یعنی من محتویات پکت را به صورت یک آرگومان میدم به dll شما و شرط مورد نیاز را هم به عنوان آرگومان دوم بهش میدم ، dll یک جواب بهم برگردونه ( yes no ignor )
        کلیات این جانوری که میخوام بنویسم ایناست :
        قابلیت نصب شدن به عنوان یک بچه فایروال روی کامپیوتر خانگی یا گت وی
        تنظیمات پیش فرض Default Rules
        ساپورت سیستم عاملهای ویندوز 32 و 64 بیتی از xp تا 2008
        امکان آپدیت آنلاین ( کرنل یا رول ها )
        امکان گرفتن ماژول
        تهیه داکیومنت راهنمای کاربران
        امکانات تهیه جدول روتینگ
        پشتیبانی از پروتکل های غیرمعمولی ، ولی مورد استفاده در سطوح کاربری بالاتر - مثلا BGP - SNMP - ARP - PPP و...)
        * امکان دتکت پکتهای اکسپلویت
        امکان دتکت حملات SQL injection
        امکان دتکت حملات DOS
        امکان دتکت حملات بروتی فورس
        بسته هانی پات
        البته یه سری از اینایی که بالا هست نوشتنی نیست، مثلا امکان نصب روی همه سیستم عاملها. ، مربوط به هسته نرم افزاره که من آماده اش میکنم ،

        Comment


        • #34
          نوشته اصلی توسط joker نمایش پست ها

          یعنی من محتویات پکت را به صورت یک آرگومان میدم به dll شما و شرط مورد نیاز را هم به عنوان آرگومان دوم بهش میدم ، dll یک جواب بهم برگردونه ( yes no ignor )
          نوع دیتا چیه؟
          شرطه رو باز ترش کن...

          come to see phrack.org

          Comment


          • #35
            نوشته اصلی توسط sali444 نمایش پست ها
            نوع دیتا چیه؟
            شرطه رو باز ترش کن...
            یک پکت کامل دیتا شامل مک آدرس و دیتا ( بسته به پروتکلش دیگه این دیتا هر شکلی میتونه داشته باشه)
            من به صورت یک بسته باینتری بهت میدم.
            از روی هدر و rfc های مربوطه میتونی دیتا را جدا کنی و پردازش کنی.

            شرط هم باز ، هرجور دوست داری باهاش کار کن ، یک مثال ساده بود.

            Comment


            • #36
              با سلام به دوتا استاد گرامی و ارجمند.
              من در مورد سیستم های تشخیص نفوذ ids یه پؤوهش دارم وخیلی برام جالب است که شما دارید روی یه ids کار میکند !!!!!!!!!!!!!! خداقوت

              حالا سوالاتی دارم اگه جواب بدین که خاک پاتونیم:

              1- سیستم های تشخصی نفوذ از هوش مصنوعی برای شناسایی استفاده میکنند !؟ میشه توضیح بدین نحوه عملکرد هوش مصنوعی در این سیستم ها چه جوری است ؟
              بژِی شبگرد ، بژِی کردستان

              Comment


              • #37
                استاد کیه؟؟؟؟

                آره میشه از هوش مصنوعی استفاده کرد. وقتی قدرت تشخیص بسیار بالا نیاز باشه از هوش مصنوعی استفاده می کنن.
                هوش مصنوعی چیزی جدا از این کد های برنامه نویسی نیستن.
                الگوریتم های هوش مصنوعی الگوریتم هایی هستن که در این مورد برای مثال وقتی یه پکت رو به عنوان ورودی بهشون می دی جوری روی اون کار می کنن که انگار به برنامه مورد نظر داده شده.
                با کد به عنوان یه استرینگ برخورد نمی کنند. کد رو به عنوان یه کد با ماهیت واقعی در نظر می گیرن. و جواب ها رو با هم مقایسه می کنند نه استرینگ ها رو...
                البته اینی که من گفتم فقط در این مورد اینجوریه و باز در همین مورد هم می تونه به شکل های دیگه عمل کنه . در کل هوش مصنوعی می خواد به جایی برسه که مثل یه انسان با مسئله برخورد کنه...

                come to see phrack.org

                Comment


                • #38
                  با سلام

                  طراحي سيستم در اين سطح اولا دانش بالايي رو مي طلبه و بدون كار گروهي امكان پذير نيست . بهتره به جاي شروع از صفر يكي از پرو**ه هاي اوپن سورس رو انتخاب و ادامه بديد ، هرچند براي زبان توانمند دلفي پيدا كردن پرو**ژه مناسب سخت خواهد بود .

                  براي همفكري بيشتر توصيه هايي كه به ذهن مياد .
                  1.استفاده از تكنيك هاي thread نويسي براي سرعت بخشي و گريز از حلقه هاي يچ در پيچ.
                  2.براي جلوگيري از افزايش بار پردازش از همون ابتداي كار ليستي از آي پي هاي غير مجاز و مشكوك رو بلوك كنيد تا درگير بررسي پاكت هاي ارسالي يا دريافتي از اونا نشيد. ( برنامه مهيج PeerBlock رو كه بالغ بر 10 ميليون آي پي رو بدون وارد كردن فشار بر سي پيو بلوك ميكنه رو خوب از رو سورس مطالعه كنيد .. توصيه به بقيه برا نصب ، برنامه مفيدي خواهد بود )
                  3. استفاده بهينه از رم بيشتر براي جستجوي چك سام پاكت هاي مخرب
                  4. بستن پروتكل هاي بلا استفاده .
                  وهزارو يك تكنيك كه سال ها كار و تلاش گروهي مي بايد !

                  با تشكر

                  Hello My Angel

                  Comment


                  • #39
                    ممنون ولی راسیاتش از همه اونایی که لیست کردم ، فقط مشکل پکتهای تغییر شکل یافته را دارم !!!
                    بقیه اش حله.
                    اگه راه حلی براش دارین بگین...

                    پیوست :
                    مطمئنا هم از Ram استفاده میکنم هم از Thread برای دسترسی به ماکزیمم سرعت برای چک شرطها و مقادیر چیزی سریعتر از رم ندارم وبرای پردازش هم چاره ای جز استفاده از تردها ندارم
                    البته آخرین مشکلم با تردها این بوده که روی سیستم عامل تعداد تردها از 1024تا که بیشتر میشه ، تا 2000 تا احتمال بروز خطا هست و از 2تا3 هزارتا ترد این احتمال به 99%درصد بیشتر نزدیک میشه و از 3-4هزارتا ترد همزمان به بالا ، برنامه بلا استثناء کرش میکنه.
                    یکسری مطالبی هم که تاالان در موردش خوندم گفتن همینه که هست !

                    خلاصه همین الان پروژه داره مراحل تست اولیه انجینش میگذرونه بابا ، سالها چیه ؟، تیم میخوام چیکار... مورچه فایروال چیه که کله پاچه بخواد.


                    و در مورد بسته شدن آی پی، این برنامه را ندیدم ولی مطمئنا به خاطر شکل آی پی یعنی 4 قسمتی ، فقط کافیه 4تا فیلتر اعمال کنه ، با هر فیلتر ساده به شکل تصاعدی رنج جستجوش کوچیکتر میشه، برای همین خیلی سریع و بدون بار روی سرور انجام میشه ،

                    Comment


                    • #40
                      انگار يه پر*وژه در حد تيم ملي هست و تمام مشكلات حل شده و رسيدين به قسمت جالب پكتهاي پوليمورفيسم

                      پرو*ژه اوپن سورس Prelude Hybrid IDS شل كد هاي تغيير شكل داده رو به طور كامل شناسايي ميكنه

                      http://www.prelude-ids.org


                      آشنايي من با اين برنامه از طريق اين مقاله بود كه از ارشيو ،لينك شو براتون ميزارم
                      http://dl.packetstormsecurity.net/pa...hicEvasion.txt

                      يه جور مقايسه اس رو چند مدل تغيير شكل دهي و كارايي IDS ها مقايسه شده ميمونه مطالعه سورس برنامه كه الگوريتمشو در بياري

                      اينام هست
                      http://ngsec.com/docs/polymorphic_sh...s_app_IDSs.PDF
                      http://www.geocrawler.com/archives/3...3/150/8010404/

                      موفق باشيد

                      Hello My Angel

                      Comment


                      • #41
                        این لینکها را از کجا آوردی فقط یکیش موجوده

                        Comment


                        • #42
                          گفتم كه از ارشيو لينك ها

                          دومي اينجا بايد باشه ( اسم فايل رو جستجو كن پيداشون ميكني )

                          http://leetupload.com/dbindex2/index...%20la%20Vista/

                          Hello My Angel

                          Comment


                          • #43
                            اقا دستت درد نکنه ولی این لینکها که میدی را خودت قبلش میبینی؟
                            اینو قبلا توی آرشیو گوگل خونده بودم ولی اینم همون مشکل اصلی را داره ، یعنی هیچی نگفته!

                            پروژه prelude-ids هم که کلا نیست و نابود شده.
                            سایت NGSEC هم همینطور...

                            پیوست: این لینکه عجب مخزنیه

                            Comment


                            • #44
                              برنامه hybrid واسه ناول نوشته شده بود..................................
                              قبلن دنبالش گشتم. منبع درستی در مورش گیر نیاوردم...

                              come to see phrack.org

                              Comment


                              • #45
                                برادر من نيست نابود شده كدومه ، اوپن سورس هزارو يك جا mirror داره بيا اينم يك مجموعه از IDS ها

                                http://tools.l0t3k.net/IDS/

                                جريان مخفي شدن لينك ها اثرات ت ح ري م !

                                Hello My Angel

                                Comment

                                Working...
                                X